Cách phòng chống virus đào tiền điện tử đang lây lan qua Facebook Messenger

Theo ông Nguyễn Minh Đức, CEO của công ty CyRadar, virus phát tán qua Facebook Messenger không phải là một hình thức mới nhưng lại lây lan nhanh do đánh đúng vào tâm lý tò mò của người dùng Việt.

Đầu tiên, một người bạn có trong danh sách bạn bè (friend list) sẽ gửi cho bạn một file (tập tin) nén zip (có tên dạng "video_" 4 số ngẫu nhiên) qua Facebook Messenger với icon (biểu tượng) hình video.

Mã độc trục lợi máy tính nạn nhân để đào tiền điện tử đang lây lan mạng trên Facebook Messenger.

Người nhận khi mở file này sẽ thấy một file video giả mạo bên trong. Nếu mở tiếp file giả mạo, máy tính sẽ bị nhiễm mã độc. Nếu máy tính nạn nhân dùng trình duyệt Google Chrome, mã độc sẽ cài một extension (tiện ích mở rộng) để tiếp tục phát tán file zip qua Facebook Messenger tới danh sách bạn bè của nạn nhân.

“Cách thức lây lan ở đây không hề mới, nhưng cũng như các chiến dịch phát tán qua mạng xã hội, hay các ứng dụng chat phổ biến khác, mã độc lần này có tốc độ lan rộng nhanh nhờ tính kết nối của Facebook và đặc tính tính tò mò, thiếu cảnh giác của phần đông người sử dụng”, ông Đức cho biết.

Đặc biệt, extension ở đây còn có hành vi ăn cắp tài khoản, mật khẩu Facebook của người dùng, gửi về server của kẻ tấn công.

Để ngăn chặn tình trạng này, ông Đức khuyến cáo đối với quản trị mạng của tổ chức, doanh nghiệp, nên thực hiện block (khóa) các domain (tên miền) của kẻ tấn công như bình bên dưới.

Quản trị viên cần khóa ngay tên miền để mã độc chuyển dữ liệu về máy chủ.

Đối với người dùng cá nhân, nên cảnh giác, không tải, mở các file trong file .zip qua Facebook Messenger trừ khi biết chắc hoặc xác nhận được với người gửi về file này.

Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ: chrome://extensions/ và enter để tải thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách vào “Start Menu” -> gõ “Run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.

Với việc xóa thư mục trên, người dùng sẽ xóa các file độc hại trong cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut (liên kết nhanh), người dùng có thể khắc phục thông báo lỗi này bằng cách bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> Xóa đoạn “--enable-automation --disable-infobars --load-extension=” trong ô Target -> OK.

Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay thì hầu hết các phần mềm diệt virus lớn đều đã cập nhật, nhận diện được mã độc này.